Die Sicherheitsforscher von Horizon3 haben eine kritische Schwachstelle in Apache ActiveMQ Classic identifiziert, die über 13 Jahre lang dem Radar der Sicherheitscommunity entging. Das Besondere: Sie wurde mit Unterstützung der künstlichen Intelligenz Claude entdeckt.
Forscher Naveen Sunkavally erklärte, dass Claude die Lücke nach nur wenigen grundlegenden Prompts identifizieren konnte. “Dies war zu 80 Prozent Claude und zu 20 Prozent menschliche Nachbearbeitung”, beschreibt er das Vorgehen. Die KI analysierte, wie unabhängig entwickelte Komponenten wie Jolokia, JMX, Netzwerk-Connectoren und VM-Transporte zusammenwirken und identifizierte dabei eine gefährliche Kombination.
Das Kernproblem: Konfiguration über das Netzwerk
Die Schwachstelle CVE-2026-34197 basiert auf einer Schwachstelle in der Jolokia-Management-API von ActiveMQ. Diese exponiert eine Broker-Funktion namens “addNetworkConnector”, über die Angreifer externe Konfigurationen laden können. Mit einer speziell präparierten Anfrage kann der Broker dazu gebracht werden, eine Remote-Spring-XML-Datei abzurufen und während der Initialisierung beliebige Systembefehle auszuführen.
Besonders kritisch: In den Versionen 6.0.0 bis 6.1.1 ist eine Authentifizierung nicht erforderlich, da die Jolokia-API dort aufgrund einer zusätzlichen Schwachstelle (CVE-2024-32114) ohne Zugriffskontrolle exponiert ist.
Warum wurde die Lücke 13 Jahre lang nicht gefunden?
Sunkavally betont, dass jede einzelne Komponente isoliert betrachtet funktioniert, wie sie sollte. Erst die Kombination der Komponenten schafft eine verwundbare Konstellation. “Dies ist genau der Punkt, an dem Claude brillierte – die Verbindungspfade effizient zusammengefügt werden, ohne von Vorannnahmen beeinträchtigt zu werden”, erklärte der Forscher.
Aktueller Stand und Maßnahmen
Sunkavally meldete die Lücke Apache-Entwicklern am 22. März 2024, die Patches wurden am 30. März bereitgestellt. Obwohl CVE-2026-34197 derzeit nicht aktiv ausgenutzt wird, warnen die Forscher vor dem erheblichen Risiko. ActiveMQ war bereits mehrfach Ziel echter Angriffe – CVE-2023-46604 und CVE-2016-3088 stehen auf CISAs Liste der in der Realität missbrauchten Sicherheitslücken.
Organisationen sollten in ihren Broker-Logs auf verdächtige Verbindungen achten, die das interne VM-Transportprotokoll verwenden oder den Parameter “brokerConfig=xbean:http://” enthalten. Warnung vor Konfigurationsproblemen deuten oft darauf hin, dass die Schadcode-Ausführung bereits stattgefunden hat.
Bedeutung für Deutschland
ActiveM Classic ist in vielen deutschen Unternehmen, bei Behörden und in kritischen Infrastrukturen im Einsatz. Ein sofortiges Patching ist dringend erforderlich.